*Por @KelliRibeiro
A regulamentação europeia de proteção de dados pessoais denominada (GPDR – Regulamento Geral de Proteção de Dados), foi aprovada em abril de 2016 e está sendo aplicada desde 25 de maio de 2018.
O regulamento geral de proteção de dados tem o objetivo de proteger a privacidade de dados dos cidadãos da União Europeia e reformular os controles relacionados a privacidade dos dados de cidadãos europeus.
1. Quais organizações serão afetadas?
- Todas as organizações que manipulam ou processam informações de cidadãos da União Europeia. A nova lei será de âmbito global e será aplicada a qualquer empresa que ofereça produtos e serviços aos residentes da União Europeia;
- As regras se aplicam tanto a controladoras dos dados quanto a processadoras/ manipuladoras.
2. Quais serão as penalidades?
- As organizações que violarem o regulamento GDPR podem ser multadas em até 4% do seu rendimento global anual ou €20 milhões (o que for maior). Esta é a multa máxima que pode ser imposta para as infrações mais graves detectadas pela a Autoridade Supervisora competente (cada Estado membro indicará uma autoridade para fiscalizar a aplicação do regulamento GDPR).
- A organização pode ser multada em 2% por: não ter seus registros inventariados (GPDR artigo 28) ou não notificar a autoridade Supervisora ou o cidadão sobre uma violação de dados. Ou ainda, por não conduzir uma avaliação de impacto do incidente.
3. Quais atividades são demandas pelo regulamento GDPR?
- Assessment de Dados: Para as organizações com mais de 250 colaboradores é necessário ter um responsável pela proteção de dados. Estes devem realizar uma análise interna de manuseio de informações de clientes e funcionários;
- Avaliar as ferramentas e dispositivos que armazenam dados, de modo a garantir que estas estejam em conformidade com a política interna para armazenamento das informações e utilização de criptografia para gravação em dispositivos, tais como: discos rígidos, SSDs e dispositivos móveis (pen drives, smartphones, etc.);
- Estabelecer e publicar políticas de segurança, classificação, tratamento e transferência de dados;
- Estabelecer regras para notificar incidentes que causaram vazamento de dados a autoridades competentes em no máximo em 72 horas.
4. Quais são os direitos do usuário?
- Autorização concedida pelo dono da informação;
- Notificação de violação;
- Direito de ser excluído ou esquecido (ter seus dados de fato apagados);
- Direito à portabilidade;
- Direito de transparência.
5. Qual o cenário brasileiro para este tema?
Atualmente, tramitam dois projetos de lei no país, o PL 5276 A /2016 e o PLS 330/2013, para a aprovação de uma Lei Geral de Proteção de Dados Pessoais, seja este realizado por organizações públicas ou privadas.
6. O projeto PL 5276 A /2016 aborda os seguintes temas:
- Proteção aos dados sensíveis;
- Graus de consentimento;
- Consentimento do titular para o compartilhamento a terceiros;
- Proteção para a transferência internacional de dados;
- Medidas de segurança técnicas e de manuseio durante o período de tratamento (processamento/ armazenamento) dos dados pessoais e perfil;
- Dados anonimizados: dados relativos a um titular que não seja identificado pelo responsável para a finalidade a que se destina o tratamento, exemplo utilização de base de dados para pesquisas;
- Proteção de dados de acessos públicos e privado;
- Sistema de fiscalização da Lei;
Conclusão
A privacidade de dados é um tema de extrema relevância para as organizações e se torna cada vez mais complexa, uma vez que novas tecnologias e modelos de negócios que se utilizam do tratamento de dados como estratégia, surgem a cada dia.
No Brasil o projeto de Lei 5.276/16 utilizou como base a norma europeia e a expectativa é que este seja aprovado ainda este ano.
As organizações devem estar atentas a estas regulamentações, e estas podem direcionar de modo oportuno o desenvolvimento de projetos antigos, que não possuíam motivadores regulatórios para serem executados, por exemplo, inventário de ativos de informação, classificação da informação, gestão de incidentes de Segurança da Informação, entre outros.
*Kelli Ribeiro é consultora de Segurança da Informação da [SAFEWAY]
A [SAFEWAY] está preparada para a realização de um assessment do framework do GDPR focado em um plano de ação, implementação de requisitos e/ou melhorias com foco na lei de privacidade de dados Europeia.
Maiores informações: [email protected]
Sobre a [SAFEWAY]
A [SAFEWAY] é uma empresa amplamente reconhecida como provedora de soluções premium em Segurança da Informação e CyberSecurity. De seu extenso portfólio, destacam-se diversas soluções, entre elas as baseadas nas plataformas:
● Archer da RSA Security, considerada pelos institutos Gartner e Forrester e pelo próprio mercado, a mais completa solução de integração de processos de Governança, Gestão de Riscos, Compliance e Gestão de Continuidade de Negócios;
● [SAFEWAY] Security Tower, suportada pelo IBM Qradar (tecnologia Watson), sob medida para cada organização em suas necessidades de gestão de segurança e cyberdefesa.
● E outras, envolvendo tecnologias Imperva, Thales, Tripwire e WatchGuard Technologies.